Office365-Postfach im Hybrid-Modus mit Powershell löschen
Immer mehr und mehr Unternehmen wechseln zu Office365, der kollaborativen Lösung von Microsoft für den täglichen Office-Gebrauch, angefangen von Word bis hin zu einem Exchange-Server.
In unserem Unternehmen haben wir nun langsam auch vor, unseren internen Exchange-Server durch einen bei Office-365 zu ersetzen, wollen aber nicht auf die Vorzüge von Office365 verzichten. Zum Beispiel ist die Zuweisung von Lizenzen (da wir Microsoft-Goldpartner sind) recht elegant gelöst. Auch wollen wir Microsoft-Teams als internes Kommunikationsmittel nutzen und langsam aber sicher dem unsäglichen Skype (for Business) abschwören. Da ein Umstieg des kompletten internen Exchange-Servers zu aufwändig wäre und E-Mail das Medium Nummer 1 für die Kommunikation mit unseren Kunden ist, haben wir uns für eine Hybrid-Stellung zwischen unserem „On-Premise“ und online Exchange-Server bei Office365 entschieden.
So werden alle internen Benutzer des Active-Directories mit dem Azure-Active-Directory synchronisiert und stehen dort auch zur Verfügung.
Vorwort
Wir haben Office365, bedingt durch Microsoft-Azure, seit einigen Jahren lizensiert und daher auch mal den einen oder anderen Blick hinein geworfen. In den Jahren hat Microsoft auch immer wieder was geändert, so dass wir bereits bestehenden Evaluierungsergebnisse nach sechs Monaten schlichtweg nicht mehr verwerten konnten. Auch schlugen dann bei uns Probleme auf, die wir vor Jahren noch gar nicht bemerkt oder auf dem Schirm hatten. Zum Beispiel lassen sich Domänen im Sharepoint-Online nicht mehr ändern. Einmal einen falsche Domain, immer eine falsche Domain.
Hierfür gibt es einen Feature-Request bei Microsoft, der irgendwie geflissentlich bei Microsoft ignoriert bzw. ausgesessen wird: Enable renaming the site collection URLs.
Aber zurück zum Thema:
Wir haben unsere ganzen Mitarbeiter mit dem Azure-AD synchronisiert, jedoch keine Postfächer migriert, da diese nach wie vor auf unserem On-Premise Exchange liegen. Zudem sind natürlich noch die Antispam-Dienstleister und die Archivierungen der Mails durch Drittanbieter auch noch vorhanden. Mal ganz vom MX-Record im DNS-Server.
Dadurch, dass Microsoft nun immer mal wieder was geändert hat (oder wir es falsch benutzt haben) gab es plötzlich für meinen Benutzer ein internes, als auch externes Postfach. An sich erstmal kein Problem, da die public DNS mit den MX-Records noch auf unsere IP zeigen.
Das Problem schlich sich langsam an…
Immer wieder hatte ich auf meinem Laptop mit Probleme bei Outlook 2016 zu kämpfen. Hier gab es zwischendurch mal keine Verbindung zum Exchange, sehr merkwürdige Meldungen oder es funktionierte einfach gar nichts mehr.
An Outlook selbst konnte ich aber sehen, dass es sich im Laufe der Zeit optisch immer veränderte. Man muss dabei sagen, das Setup war noch von einem heruntergeladenen Microsoft-Office Professional aus dem Partner-Portal von Microsoft.
Eines Morgens wurde ich dann mit dem Outlook 2016 Office365-Ladebildschirm begrüßt:
Komisch daran war, dass ich das Setup dafür nie installiert hatte, sich das Office aber dennoch irgendwie nun auf eine Office365-Variante geupdatet hat.
Blöd nur, wenn das Outlook dann Office365 bei der Wahl des Exchange-Servers Vorrang gewährt und den internen Exchange total vernachlässigt.
Dadurch wurde mir dann immer wieder das Postfach meines Office365-Accounts angezeigt. Das Problem trat auch nicht immer auf, sondern sporadisch und irgendwann mal.
Die Lösung: Löschen des Postfaches auf dem Office365-Mandanten
Ganz so einfach gestallte es sich dann leider doch nicht. Dazu muss man sich überhaupt erst einmal mit der Powershell mit dem Office365 verbinden.
Glücklicherweise geht das recht einfach, wenn man vorher vier Pakete/Module installiert:
Install-Module MSOnline Install-Module AzureAD Import-Module AzureAD
Danach kann man sich dann mit Office365 und den Anmeldedaten des Admins verbinden:
Connect-MsolService
Es wird nun ziemlich eklig
Ich bin bei uns der Domänen-Admin, weil ich scheinbar der letzte in der Kantine war und sonst keiner dazu Lust hatte. Dennoch widerstrebt es mir, meinen eigenen Benutzer im Office365 zu löschen. Große Angst vor dem Aussperren war da. Also checkte ich kurz ob mein Co-Admin seinen Zugang hat und der auch noch alles administrieren kann und ich so meinen Account löschen kann.
Es war alles okay und ich könnte nun den Account löschen, mit dem nachfolgenden PS-Befehl:
Remove-MsolUser -UserPrincipalName [E-Mailadresse] Remove-MsolUser -UserPrincipalName [E-Mailadresse] -RemoveFromRecycleBin
Damit lösche ich den Benutzer (Soft-Delete) und lösche das gelöschte Elemente aus dem Papierkorb (Hard-Delete).
Ging aber nicht, da Office365 so nett ist und es nicht zulässt, dass man sich selbst löschen kann. Also musste nun wieder mein Co-Admin ran und meinen Account löschen. Das klappte dann auch schlussendlich.
Alle Accounts waren weg und ich konnte erwartungsgemäß nichts mehr im Office365 machen. Nach einem Neustart bekam sich dann auch mein Outlook wieder ein und zeigte mir mein Postfach des internen Exchange-Servers an.
Wichtig ist danach, dass man die Azure-AD-Sync nochmals manuell anstößt, nämlich auf dem Rechner wo diese auch läuft:
Start-ADSyncSyncCycle -PolicyType Delta
Damit wird die Sync noch einmal angestoßen, aber kein ganzer Lauf, sondern nur das aktuelle Delta wird synchronisiert.
Benutzer weg, was nun?
Nach ein paar Minuten warten tauchte dann mein Benutzer wieder im Azure-AD auf und wurde dann durch meinen Co-Admin wieder zu einem globalem Admin ernannt. Auch gab es nun tatsächlich kein Postfach mehr im Exchange im Office365. Somit sollte also mein Problem vorerst behoben sein…
Abwarten, was Microsoft sich noch so ausdenkt… 😂